Discussion :

[feelwatt]

Bonjour à tous;

J'ai bien bossé le fgetcsv
et je récupère le tout dans des array
le but est bien sur de faire un INSERT INTO, donc avec SET id = :id, Nom = :Nom, etc
mais le problème c'est que les csv ont

• Un nombre de colonnes différents
• Des noms de colonnes différents

alors le nombre de SET va changer.

J'ai fait ca

1. Lire le csv

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 while (($data = fgetcsv($handle, 1000, ";")) !== FALSE) {

OK
Mais les arrays sont de la forme [0] => 1, [1] => Le nom etc...
Et pour le array de execute() il aurait fallu [id] => 1, [Nom] => Le nom etc...

Alors je tente:

1. De récupérer les entetes dans un array

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$arrayName = array();
if ($i==0) 
	{ // Créer les en tetes
	$num = count($data); echo "Num=".$num;
    	echo "<br/>";
    	for ($n=0; $n < $num; $n++) 
    		{ 
        		//echo $data[$n]."<br/>";
        		array_push($arrayName,$data[$n]);
    		}
    	// print_r($arrayName);
    	for ($d=0; $d < $num; $d++) { 
    	 	echo $arrayName[$d].' / ';
	 } 
}

Ok

Et là il faudrait créer un array des lignes suivantes avec comme entete l'arrayName précédent ?

Qu'en pensez-vous ?
Je pense que je galère bien, en tout cas

[sabotage]

C'est plus simple de ne me pas nommer les paramètres :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
while (($data = fgetcsv($handle, 1000, ";")) !== FALSE) {
   if (!isset($sth)) {   
              $sth = $pdo->prepare('INSERT INTO ' . $table . ' VALUES (' . implode(',', array_fill(0, count($data), '?')) . ')');
   }
   else {
              $sth->execute($data);
   }
}   
unset($sth);

[feelwatt]

Waouh !
Ca claque

J'essaye ça !

[feelwatt]

En lancant des print_r pour $data et s$sth on a


$Data= Array ( [0] => 11 [1] => [2] => Semi mat [3] => 1 )
Ok
Pour $sth:
$sth= PDOStatement Object ( [queryString] => INSERT INTO finitions VALUES (?,?,?,?) )

Ben ouais mais ca marche
Super Sabotage Merci !!!

[feelwatt]

Bonjour,
Pour protéger l'application des injections,
j'ai tenté d'importer un .csv avec <u/>DD</u>
et comme protection j'ai fait:

• un mysql_real_escape_string() sur le array_fill > C'est pô bon.
• htmlspecialchars sur le ('?') > pas d'erreur mais ca garde les <u>
• htmlentities sur le ('?') > idem

Vous auriez une idée ?

[Celira]

Ce que tu tentes là, c'est une injection XSS, en l’occurrence l'ajout de code exécutable à l'affichage de la page. En général on tente <script>alert('BOUM!')</script>, si tu as une popup "BOUM!", c'est pas bon.

mysql_real_escape_string protège des injections SQL, qui magouillent les requêtes en base de donnée. Ce n'est pas ton cas, donc il est normal que ça ne fasse rien dessus. (Et de toute façon, si tu utilises PDO et les requêtes préparéescorrectement, tu es déjà protégé, inutile de mélanger mysql_real_escape_string dans l'affaire)

htmlentities et htmlspecialchars protègent des injections de HTML en "neutralisant" le HTML pour qu'il doit affiché et non "exécuté". Dans l'exemple de l'alert('BOUM!') que je citais au-dessus, ça va écrire "alert('BOUM!')" au lieu de faire la popup. Tu es donc bien protégé, mais évidement c'est moche vu que ça écrit le code html dans la page.

Si tu veux retirer des balises html d'une chaine, regarde du côté de strip_tags.

[feelwatt]

Bonjour Célira, merci de la réponse

J'ai fait pas mal d'essais

Le Strip_tags n'est pas possible sur le $data qui est un array.

J'ai l'impression qu'il va falloir que je le fasse sur chacune de ses valeurs.
et que je le reconstruise ensuite.

Une bonne idée ?

[sabotage]

Le fait que $data soit un tableau n'empeche pas d'utiliser strip_tags sur chacun des éléments à l'interieur par un boucle.

[feelwatt]

C'est ce que je pensais
et recréer le tableau ensuite.
Merci

[Celira]

Tu peux aussi utiliser la fonction array_​map pour appliquer la fonction à tout le tableau (évidement, si c'est un tableau de tableaux, ça va devenir plus compliqué)

[feelwatt]

Je vais regarder array_map.

Toutefois j'ai bricolé ca, dans la boucle du while

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
while (($data = fgetcsv($handle, 1000, ";")) !== FALSE) 
	{  
		// D'ci 
                $i=0;
		foreach ($data as $key => $value) { 
		$data[$i] = strip_tags($value); 
		echo strip_tags($data[$i]); 
		$i++;
		}
		echo "<br/>Data= ";  print_r($data); echo "<br>"; 
                // jusque là
   if (!isset($sth)) 
   	{   
    	$sth = $bdd->prepare('INSERT INTO ' . $table . ' VALUES (' . implode(',', array_fill(0, count($data), '?')) . ')');
   	}
   else { // echo "Sth= "; print_r($sth); echo "<br>";
        $sth->execute($data);
        $Nb++;
   	}
}

(avec des echo et print pour vérifier)

Le boum ne passe pas.

Ca vous semble correct ?

[CinePhil]

Si le but est d'enregistrer le fichier CSV dans une table, pourquoi ne pas utiliser une requête LOAD DATA INFLE ?
https://dev.mysql.com/doc/refman/5.1/en/load-data.html

[feelwatt]

Si le but est d'enregistrer le fichier CSV dans une table, pourquoi ne pas utiliser une requête LOAD DATA INFLE ?
https://dev.mysql.com/doc/refman/5.1/en/load-data.html

Ah je ne connais pas (encore),

Sinon apres des essai je remarque que mon code n'importe pas
les champs qui commencent par 1 chiffre
(Bien que le type de champs soit Varchar 250 utf8_bin)

Z'auriez une idée du pourquoi ?